نظام حماية البيانات الشخصية السعودي: الالتزامات النظامية وأثرها على الشركات

2 أكتوبر, 2025

المقدمة
شهد العالم خلال العقدين الماضيين طفرة رقمية غير مسبوقة أدت إلى تضاعف حجم البيانات الشخصية المتداولة عبر المنصات الإلكترونية والتطبيقات الذكية، مما جعل حماية هذه البيانات مطلبًا أساسيًا لضمان الخصوصية الفردية وتعزيز الثقة بين الأفراد والكيانات التجارية. وفي هذا السياق، أولت المملكة العربية السعودية اهتمامًا متزايدًا بتنظيم المعاملات الرقمية وتطوير الأطر النظامية التي تحكم إدارة البيانات وحمايتها.

ويُعد نظام حماية البيانات الشخصية السعودي (PDPL) أحد أبرز الخطوات التشريعية الحديثة التي تعكس توجه المملكة نحو تعزيز بيئة رقمية آمنة ومتوافقة مع أفضل الممارسات الدولية، ولا سيما في ظل رؤية السعودية 2030 التي تركز على بناء اقتصاد رقمي مزدهر.

تنبع أهمية هذا النظام من كونه لا يقتصر على حماية حقوق الأفراد فقط، بل يمتد ليشكل ركيزة أساسية في بناء علاقة ثقة متبادلة بين الشركات والعملاء. فالالتزام بأحكام النظام يعزز من سمعة الشركات في السوق المحلي والدولي، ويساعدها على تجنب العقوبات والغرامات النظامية، إضافةً إلى أنه يرفع من مستوى البيئة التنافسية ويحقق استدامة الأعمال.

أهداف الدراسة:

  1. تحليل نظام حماية البيانات الشخصية السعودي وبيان نطاقه ومبادئه.
  2. استعراض التزامات الشركات النظامية في جمع البيانات ومعالجتها وحمايتها.
  3. تسليط الضوء على حقوق أصحاب البيانات وآليات حمايتها.
  4. دراسة الآثار النظامية والعملية لعدم الامتثال على الشركات.
  5. تقديم توصيات عملية تساعد الشركات على الامتثال الفعّال للنظام.

منهجية الدراسة:

تعتمد هذه الدراسة على المنهج التحليلي المقارن، من خلال تحليل نصوص النظام السعودي لحماية البيانات الشخصية ولوائحه التنفيذية، ومقارنتها بالمعايير الدولية مثل اللائحة الأوروبية العامة لحماية البيانات (GDPR)، مع الاستعانة بالدراسات الفقهية والتطبيقات العملية ذات الصلة.

الفصل الأول: الإطار العام لنظام حماية البيانات الشخصية السعودي

المبحث الأول: التعريف بالنظام ونطاق تطبيقه

أولًا: تعريف البيانات الشخصية

جاء نظام حماية البيانات الشخصية السعودي ليضع تعريفًا شاملًا للبيانات الشخصية بأنها:

“كل بيان – مهما كان مصدره أو شكله- من شأنه أن يؤدي إلى معرفة الفرد على وجه التحديد أو يجعل التعرف إليه ممكنًا بصفة مباشرة أو غير مباشرة”.

ويشمل ذلك:

  • الاسم، رقم الهوية الشخصية، العناوين.
  • أرقام التواصل، أرقام الرخص والسجلات والممتلكات الشخصية.
  • أرقام الحسابات البنكية والبطاقات الائتمانية.
  • البيانات الطبية المرتبطة بالحالة الصحية أو التاريخ المرضي.
  • صور الفرد الثابتة أو المتحركة، غير ذلك من البيانات ذات الطابع الشخصي.

هذه الصياغة الواسعة تعكس إدراك المشرع أن البيانات لم تعد تقتصر على الهوية الرسمية، بل تشمل أي معلومة يمكن أن تُستخدم للتعريف بالشخص أو تتبع نشاطه، حتى لو لم تُذكر هويته بشكل مباشر.

ثانيًا: نطاق التطبيق

حدد النظام نطاقًا واسعًا لتطبيق أحكامه، بحيث يشمل:

  1. الأفراد داخل المملكة: حماية خصوصية المواطنين والمقيمين.
  2. الجهات الاعتبارية (الشركات والمؤسسات) التي تقوم بجمع أو معالجة أو تخزين بيانات شخصية داخل السعودية.
  3. المعالجة خارج المملكة: يمتد تطبيق النظام إلى الحالات التي تتم فيها معالجة بيانات تخص أشخاصًا مقيمين في السعودية، حتى لو كانت المعالجة في الخارج، ما يجعل الالتزام ذا طابع “عابر للحدود”.

 هذا التوسع في النطاق يواكب المعايير الدولية ويمنع الشركات من التحايل عن طريق نقل البيانات إلى الخارج لتفادي الرقابة المحلية.

ثالثًا: الجهات المشمولة والجهات المستثناة

  • المشمولة: نصّت الفقرة الأولى من المادة الثانية على أنه” يُطبق النظام على أي عملية مُعالجة لبيانات شخصية تتعلق بالأفراد تتم في المملكة بأي وسيلة كانت، بما في ذلك معالجة البيانات الشخصية المتعلقة بالأفراد المقيمين في المملكة بأي وسيلة كانت من أي جهة خارج المملكة. ويشمل ذلك بيانات المتوفى إذا كانت ستؤدي إلى معرفته أو معرفة أحد أفراد أُسرته على وجه التحديد”.
  • المستثناة: نصّت الفقرة الثانية من المادة الثانية على أنه” يُستثنى من نطاق تطبيق النظام، قيام الفرد بمعالجة البيانات الشخصية لأغراض لا تتجاوز الاستخدام الشخصي أو العائلي، ما دام أنه لم ينشرها أو يفصح عنها للغير. وتحدد اللوائح المقصود بالاستخدام الشخصي والعائلي المنصوص عليهما في هذه الفقرة”.

المبحث الثاني: المبادئ العامة لحماية البيانات

أولًا: مبدأ المشروعية وتحديد الغرض

لا يجوز للشركات جمع البيانات إلا لغرض مشروع ومحدد بوضوح.

  • مثلًا: شركة اتصالات تجمع بيانات العملاء لأجل إصدار الفواتير وتقديم الخدمة.
  • لا يجوز لها لاحقًا استخدام البيانات نفسها لأغراض تسويقية إلا بموافقة جديدة ومحددة.

 هذا المبدأ يحمي الأفراد من إساءة الاستخدام ويضمن وضوح العلاقة بين الطرفين.

ثانيًا: مبدأ الشفافية والإفصاح

يُعد من الركائز الأساسية للنظام. إذ يجب على الشركات:

  • إبلاغ الأفراد بوضوح عن نوع البيانات التي ستُجمع.
  • بيان سبب جمعها وكيفية استخدامها.
  • تحديد الجهات التي ستشارك معها هذه البيانات.

الهدف هو تمكين الأفراد من اتخاذ قرار مستنير بشأن السماح بجمع بياناتهم أو رفض ذلك.

ثالثًا: مبدأ تقليل البيانات (Data Minimization)

يقضي هذا المبدأ بعدم جمع أي بيانات إلا إذا كانت ضرورية لتحقيق الغرض المصرح به.

  • مثال: لا يحق لمتجر إلكتروني طلب رقم الهوية الوطنية من العميل لمجرد شراء سلعة تُسلم 

إلى المنزل، إذ يكفي الاسم والعنوان ورقم الجوال.

رابعًا: مبدأ الدقة والتحديث

يلزم النظام الشركات بالتحقق من صحة البيانات وتحديثها بشكل دوري.

  • على سبيل المثال: إذا تغيّر عنوان العميل، فيجب على الشركة تحديثه لضمان وصول الفواتير بشكل صحيح.
  • هذا الالتزام يحمي الأفراد من الأضرار الناجمة عن أخطاء أو تقادم البيانات.

خامسًا: مبدأ المسؤولية والمساءلة

لا يكفي أن تضع الشركة سياسات مكتوبة، بل يجب أن تكون قادرة على إثبات التزامها بالنظام عند خضوعها للرقابة.

  • وهذا يعني أن عبء الإثبات ينتقل إلى الشركة إذا نشأ نزاع أو تحقيق بشأن انتهاك البيانات.

المبحث الثالث: المقارنة الدولية

أولًا: أوجه التشابه مع اللائحة الأوروبية العامة لحماية البيانات (GDPR)

  • الموافقة الصريحة: يشترط النظامان الحصول على موافقة واضحة من صاحب البيانات.
  • الحقوق الواسعة للأفراد: مثل الحق في الوصول، والتصحيح، وسحب الموافقة.
  • التزامات الحماية: كفرض إجراءات أمنية وتعيين مسؤول حماية بيانات في بعض الحالات.

ثانيًا: أوجه الاختلاف والتمايز في السياق السعودي

  1. الخصوصية الشرعية والثقافية:

النظام السعودي يتكيف مع القيم الدينية والاجتماعية المحلية، مثل حماية البيانات المتعلقة بالحياة العائلية أو الدينية.

  1. السيادة الرقمية:

يفرض النظام قيودًا على نقل البيانات خارج المملكة إلا وفق شروط محددة، لضمان السيطرة على البيانات داخل الإطار الوطني، وهو ما يعكس توجهًا استراتيجيًا لحماية الأمن السيبراني الوطني.

  1. النهج التدريجي في التطبيق:

منح النظام فترة سماح للشركات لتوفيق أوضاعها، بخلاف اللائحة الأوروبية التي فرضت تطبيقًا مباشرًا.

  1. المؤسسات المشرفة:

في السعودية، الجهة المشرفة هي الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا)، بخلاف الاتحاد الأوروبي الذي يشرف عبر هيئات حماية البيانات الوطنية.

الخلاصة التحليلية للفصل الأول

يتضح أن نظام حماية البيانات الشخصية السعودي جاء ليشكل نقلة نوعية في البيئة النظامية، إذ لا يقتصر على كونه تشريعًا يجرّم انتهاك الخصوصية، بل هو منظومة متكاملة تضع مبادئ واضحة لحماية البيانات، وتفرض على الشركات التزامات محددة، وتمنح الأفراد حقوقًا واسعة.

كما أن النظام يوازن بين الالتزام بالمعايير الدولية من جهة، وحماية السيادة الوطنية والخصوصية الثقافية من جهة أخرى، وهو ما يجعله نظامًا فريدًا في بنيته وملائمًا لاحتياجات المملكة في ظل التحول الرقمي السريع الذي تشهده.

الفصل الثاني: التزامات الشركات في جمع ومعالجة البيانات

تُعد الشركات – على اختلاف أحجامها وقطاعاتها – من أكثر الجهات تعاملًا مع البيانات الشخصية للأفراد. فهي تجمع بيانات عملائها وموظفيها ومورديها، وتعالجها لأغراض متعددة، بدءًا من تقديم الخدمات الأساسية وصولًا إلى تطوير المنتجات وتحسين الأداء. وإزاء هذا الدور المحوري، ألزم نظام حماية البيانات الشخصية السعودي الشركات بجملة من الالتزامات الدقيقة، لضمان أن تتم عمليات الجمع والمعالجة في إطار من المشروعية، الشفافية، والمساءلة.

المبحث الأول: جمع البيانات الشخصية

أولًا: شرط الموافقة الصريحة

ألزم النظام الشركات بالحصول على موافقة صريحة من صاحب البيانات قبل الشروع في جمع أي معلومة شخصية.

  • المقصود بالصريحة: أن تكون مكتوبة أو موثقة إلكترونيًا، وبعيدة عن الغموض أو الإبهام.
  • الغاية: ضمان وعي الفرد بما يُجمع عنه، وإعطائه حق الرفض أو القبول على بينة.
  • الاستثناءات: قد تُعفى الشركة من شرط الموافقة في حالات خاصة، مثل وجود مصلحة أمنية عليا، أو تنفيذ التزامات نظامية ملزمة، أو في الحالات التي تقتضيها الضرورة لحماية مصلحة عامة.

 مثال تطبيقي: لا يجوز لمصرف أن يطلب من عميله التوقيع على اتفاقية عامة تسمح باستخدام بياناته “لأي أغراض مستقبلية”؛ بل يجب أن يحدد بوضوح أن البيانات ستُستخدم لفتح الحساب المصرفي وإدارته.

ثانيًا: تحديد الغرض المشروع قبل الجمع

  • يتطلب النظام أن تُفصح الشركة مسبقًا عن الغرض من جمع البيانات.
  • الأثر القانوني: إذا استخدمت الشركة البيانات لاحقًا لغرض غير مذكور، فإنها تعد في حالة مخالفة تستوجب المساءلة.

 مثال تطبيقي: إذا جمعت شركة توصيل العنوان ورقم الهاتف لتوصيل الطلبات، فلا يجوز لها استخدام نفس البيانات لإرسال إعلانات تجارية إلا بموافقة جديدة وصريحة.

ثالثًا: مبدأ الحد من البيانات (Data Minimization)

  • يقضي هذا المبدأ بأن تجمع الشركة فقط البيانات الضرورية والمرتبطة بالغرض المشروع.
  • الإفراط في جمع البيانات يزيد من المخاطر الأمنية ويرفع احتمالية التعرض للاختراق.

 مثال تطبيقي: متجر إلكتروني يطلب من العميل رقم بطاقة الهوية الوطنية عند شراء منتجات بسيطة، في حين أن ذلك غير لازم لإتمام عملية الشراء والدفع. هذه الممارسة مخالفة لمبدأ الحد من البيانات.

رابعًا: الإبلاغ المسبق لصاحب البيانات

  • يجب على الشركة أن تخطر الأفراد بوضوح عن:
  1. نوع البيانات التي ستجمع.
  2. الغرض من الجمع.
  3. مدة الاحتفاظ بالبيانات.
  4. الجهات التي ستُشارك معها البيانات إن وُجدت.
  • هذا الالتزام يعزز مبدأ الشفافية ويُمكّن الأفراد من ممارسة حقوقهم.

المبحث الثاني: معالجة البيانات الشخصية

أولًا: حدود الاستخدام المشروع للبيانات

  • بعد جمع البيانات، تُقيد الشركة باستخدامها فقط للغرض المعلن.
  • أي استخدام جديد يتطلب موافقة جديدة من صاحب البيانات.

 مثال تطبيقي: لا يجوز لشركة طبية استخدام بيانات المرضى التي جُمعت لغرض التشخيص الطبي في أنشطة تسويقية لمنتجات دوائية.

ثانيًا: تحديث البيانات والتحقق من صحتها

  • يفرض النظام على الشركات التأكد من أن البيانات دقيقة ومحدثة.
  • يُعتبر الإهمال في التحديث شكلًا من أشكال الإخلال بالالتزامات النظامية.

 مثال تطبيقي: شركة اتصالات استمرت في إرسال فواتير إلى عنوان عميل قديم رغم تغيير مكان سكنه بعد إبلاغها، هنا تكون الشركة قد أخلّت بالتزامها بالتحديث.

ثالثًا: تعيين مسؤول حماية البيانات (DPO)

  • يُلزم النظام بعض الشركات – خاصة الكبيرة أو التي تتعامل مع بيانات حساسة – بتعيين مسؤول حماية بيانات.
  • وظائفه:
  1. متابعة الالتزام الداخلي بالسياسات والأنظمة.
  2. تلقي شكاوى أصحاب البيانات.
  3. التنسيق مع الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) في حال وجود مخالفات.

 أهمية هذه الوظيفة: جعل حماية البيانات مسؤولية تنظيمية وليست مجرد إجراء إداري.

رابعًا: منع المعالجة غير المشروعة

  • على الشركات وضع أنظمة داخلية تمنع:
  • الوصول غير المصرح به.
  • التعديل أو الحذف العشوائي.
  • نسخ البيانات أو نقلها دون سبب مشروع.

خامسًا: معالجة البيانات الحساسة

  • تشمل: البيانات الطبية، والمالية، والبيومترية.
  • النظام شدد على أن جمعها أو معالجتها يجب أن يخضع لضوابط إضافية مثل: موافقة خاصة ومشددة.
  • تخزينها بطرق أكثر أمانًا.
  • حصر الاطلاع عليها بفئات محددة من الموظفين.

المبحث الثالث: التزامات الشركات تجاه أصحاب البيانات

أولًا: تمكين الأفراد من حقوقهم

يجب على الشركات أن تتيح قنوات واضحة للأفراد لممارسة حقوقهم النظامية، وهي:

  1. الاطلاع على بياناتهم.
  2. تصحيح الأخطاء.
  3. طلب الحذف عند انتهاء الحاجة.
  4. سحب الموافقة في أي وقت.

ثانيًا: توثيق السياسات والإجراءات

  • يتوجب على الشركات صياغة سياسات مكتوبة ومعلنة لحماية البيانات.
  • هذه السياسات لا تُعتبر مجرد وثائق شكلية، بل هي وسيلة لإثبات الامتثال عند المراجعة النظامية أو القضائية.

ثالثًا: الإشعار في حال الاختراق

  • يفرض النظام على الشركات إخطار:
  1. صاحب البيانات المتضرر.
  2. الجهة الرقابية المختصة (سدايا).
  • خلال فترة زمنية وجيزة، مع توضيح طبيعة الخرق والإجراءات المتخذة لتلافي آثاره.

الخلاصة التحليلية للفصل الثاني

يظهر بجلاء أن المشرّع السعودي لم يكتفِ بوضع قواعد عامة لحماية البيانات، بل ألزم الشركات بخطوات عملية تبدأ منذ لحظة جمع البيانات، مرورًا بمرحلة معالجتها، وانتهاءً بحقوق الأفراد والإفصاح عن أي خروقات.

إن هذه الالتزامات تمثل نقلة نوعية في المسؤولية النظامية للشركات، وتجعلها طرفًا فاعلًا في حماية الخصوصية، وليست مجرد مستفيد من البيانات. كما أن الالتزام بهذه القواعد لا يقتصر على تجنب العقوبات، بل يعزز من سمعة الشركات وثقة عملائها، ما يجعل الامتثال للنظام ميزة تنافسية في السوق.

الفصل الثالث: أمن البيانات وحمايتها

تُعد حماية البيانات من المخاطر التقنية والأمنية أحد أهم محاور نظام حماية البيانات الشخصية السعودي. فمع تزايد التهديدات السيبرانية وحوادث الاختراق وتسريب المعلومات، لم يعد يكفي أن تضع الشركات سياسات ورقية، بل أصبح لزامًا عليها أن تتبنى أنظمة أمنية متكاملة لحماية بيانات الأفراد من أي تهديد خارجي أو إساءة استخدام داخلي.

ويركز النظام على ثلاثة مستويات رئيسية للأمن: الحماية الفنية، الحماية الإدارية والتنظيمية، وإدارة المخاطر والاستجابة للحوادث.

المبحث الأول: متطلبات الحماية الفنية

أولًا: تخزين البيانات في بيئة آمنة

  • يُلزم النظام الشركات باستخدام أنظمة تخزين آمنة تمنع الوصول غير المصرح به أو التلاعب بالبيانات.
  • تشمل هذه البيئة: خوادم محمية بجدران نارية (Firewalls)، وأنظمة كشف التسلل (IDS)، وحلول مراقبة متقدمة.

 مثال تطبيقي: شركة مالية تعتمد على مراكز بيانات محلية معتمدة وفق معايير الهيئة الوطنية للأمن السيبراني لضمان بقاء بيانات العملاء تحت السيادة الوطنية.

ثانيًا: التشفير (Encryption)

  • يعد التشفير أحد المتطلبات الجوهرية لحماية البيانات أثناء نقلها أو تخزينها.
  • الهدف: حتى في حال وقوع اختراق، فإن البيانات تكون غير قابلة للاستخدام من قبل الجهة المخترقة.

 مثال تطبيقي: استخدام بروتوكولات (TLS/SSL) في المواقع الإلكترونية لضمان حماية المعلومات التي يتم إدخالها عبر الإنترنت.

ثالثًا: تقنيات النسخ الاحتياطي (Backups)

  • يجب على الشركات إجراء نسخ احتياطي دوري للبيانات وتخزينها في مواقع متعددة.
  • هذه الممارسة تقلل من مخاطر فقدان البيانات بسبب الحوادث التقنية أو الكوارث الطبيعية.

المبحث الثاني: متطلبات الحماية الإدارية والتنظيمية

أولًا: تقييد الوصول إلى البيانات

  • لا يجوز أن تكون البيانات متاحة لجميع الموظفين.
  • يجب اعتماد مبدأ الحد الأدنى من الصلاحيات (Least Privilege)، بحيث يحصل الموظف على البيانات التي يحتاجها فقط لأداء عمله.

 مثال تطبيقي: موظف في قسم الموارد البشرية لا يحق له الاطلاع على بيانات العملاء المالية، والعكس صحيح.

ثانيًا: سياسات داخلية مكتوبة

  • يتعين على الشركات وضع لوائح وإجراءات داخلية مكتوبة توضّح:
  • كيفية التعامل مع البيانات.
  • المسؤوليات الموكلة لكل قسم.
  • الإجراءات الواجب اتباعها عند حدوث خرق.

ثالثًا: تدريب الموظفين

  • يُعد العنصر البشري أحد أكبر مصادر التهديد للبيانات، إما عن قصد أو عن جهل.
  • لذلك يلزم النظام الشركات بتنظيم برامج تدريب دورية لرفع وعي الموظفين بكيفية التعامل الآمن مع البيانات.
  •  مثال تطبيقي: عقد ورش عمل نصف سنوية في الشركات الكبرى لتوعية الموظفين بمخاطر رسائل التصيد الإلكتروني (Phishing).

المبحث الثالث: إدارة المخاطر والاستجابة للحوادث

أولًا: المراجعة الدورية (Compliance Audit)

  • أوجب النظام على الشركات إجراء مراجعات دورية لإجراءاتها الأمنية للتأكد من الامتثال للمعايير.
  • هذه المراجعة قد تكون داخلية (بواسطة فريق التدقيق في الشركة) أو خارجية (عن طريق جهة متخصصة مستقلة).

ثانيًا: خطط الاستجابة للحوادث (Incident Response Plans)

  • يجب على الشركات أن تكون لديها خطط مكتوبة تحدد الخطوات الواجب اتباعها عند حدوث اختراق أو تسريب بيانات.
  • هذه الخطط تشمل:
  1. اكتشاف الحادث وتقييمه.
  2. احتواء الأضرار.
  3. إبلاغ الجهات المعنية وصاحب البيانات.
  4. وضع تدابير لمنع تكراره.

ثالثًا: الإشعار الفوري بالاختراق

  • يفرض النظام التزامًا مزدوجًا على الشركات عند حدوث خرق أمني:
  1. إبلاغ الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا) خلال مدة زمنية وجيزة تحددها اللوائح.
  2. إشعار صاحب البيانات المتضرر بوقوع الخرق، مع بيان طبيعة المعلومات المسربة والإجراءات التصحيحية.

 أهمية هذا الالتزام: يحقق الشفافية ويُمكّن الأفراد من اتخاذ إجراءات لحماية أنفسهم، مثل تغيير كلمات المرور أو مراقبة حساباتهم البنكية.

الخلاصة التحليلية للفصل الثالث

من خلال استعراض متطلبات النظام في جانب أمن البيانات، يتضح أن المشرّع السعودي أراد أن ينقل حماية البيانات من كونها إجراء شكلي إلى كونها ممارسة جوهرية تدمج في البنية التحتية للشركات.

  • على المستوى الفني: أوجب النظام استخدام التشفير، التخزين الآمن، والنسخ الاحتياطي.
  • على المستوى الإداري: شدد على سياسات مكتوبة وتقييد الصلاحيات وتدريب الموظفين.
  • على مستوى الاستجابة: ألزم بخطط وقائية وإجراءات علاجية عند وقوع الاختراقات.

وبذلك يصبح أمن البيانات مسؤولية شاملة تشترك فيها جميع مستويات الشركة، من الإدارة العليا إلى الموظف البسيط.

الفصل الرابع: مشاركة البيانات ونقلها

يُعتبر موضوع مشاركة البيانات ونقلها من أكثر المسائل حساسية في نظام حماية البيانات الشخصية السعودي، نظرًا لما ينطوي عليه من مخاطر على الخصوصية والأمن السيبراني. فقد يترتب على مشاركة البيانات أو نقلها إلى أطراف أخرى – خصوصًا خارج المملكة – إمكانية إساءة استخدامها أو تسريبها أو إخضاعها لقوانين أجنبية لا تضمن مستوى الحماية المطلوب.

لذلك وضع المشرّع السعودي إطارًا صارمًا لضبط هذه العمليات، يقوم على مبدأين رئيسيين: الحماية المكافئة والموافقة المسبقة.

المبحث الأول: مشاركة البيانات داخليًا وخارجيًا

أولًا: المشاركة داخل المملكة

  • يسمح النظام بمشاركة البيانات الشخصية مع أطراف ثالثة داخل المملكة بشرط:
  1. أن تكون هناك موافقة صريحة من صاحب البيانات.
  2. أن تكون المشاركة لأغراض محددة ومشروعة.
  3. أن تلتزم الجهة المستلمة للبيانات بذات معايير الحماية التي يفرضها النظام.

مثال تطبيقي: شركة اتصالات تشارك بيانات عملائها مع شركة تحصيل مالية لمتابعة سداد الفواتير. هذه المشاركة جائزة إذا كانت مشروطة بموافقة العميل وتحت معايير حماية واضحة.

ثانيًا: المشاركة مع جهات حكومية

  • أجاز النظام مشاركة البيانات مع الجهات الحكومية إذا كان ذلك ضروريًا لتنفيذ التزامات نظامية أو لاعتبارات المصلحة العامة.
  • لكن حتى في هذه الحالات، تبقى الجهة ملزمة بضمان عدم تجاوز الغرض المصرّح به.

ثالثًا: المخاطر العملية للمشاركة غير المنظمة

  • تسرب البيانات لمزود خدمة خارجي غير ملتزم.
  • استخدام البيانات لأغراض تجارية غير متفق عليها.
  • فقدان الثقة من العملاء، مما يؤدي إلى أضرار بالسمعة.

المبحث الثاني: نقل البيانات خارج المملكة

أولًا: المبدأ العام

  • يمنع النظام نقل البيانات الشخصية إلى خارج المملكة إلا إذا توافرت ضمانات كافية تكفل نفس مستوى الحماية المقرر داخل السعودية.

ثانيًا: الشروط النظامية للنقل

  1. أن يكون النقل ضروريًا لتحقيق مصلحة مشروعة للشركة أو لصاحب البيانات.
  2. الحصول على موافقة صاحب البيانات، ما لم يوجد استثناء.
  3. أن تلتزم الجهة المستقبِلة خارج المملكة بمعايير حماية مكافئة لتلك المعمول بها في السعودية.
  4. أن تتم عملية النقل تحت إشراف وموافقة الجهة المختصة (سدايا).

مثال تطبيقي: بنك سعودي ينقل بيانات عملائه إلى مركز بيانات في أوروبا لأغراض تقنية. في هذه الحالة، يجب أن يثبت البنك أن مركز البيانات الأوروبي يطبق نفس معايير التشفير والحماية، وأن النقل تم بموافقة العملاء وبعلمهم.

ثالثًا: الاستثناءات

يمكن نقل البيانات دون استيفاء جميع الشروط في بعض الحالات الخاصة، مثل:

  • حماية حياة صاحب البيانات أو صحته عند تعذر أخذ موافقته.
  • الوفاء بالتزامات تعاقدية يطلبها صاحب البيانات نفسه.
  • إذا كان النقل ضروريًا لمصلحة عامة أو لضرورات أمنية.

رابعًا: التحديات أمام الشركات متعددة الجنسيات

  • اختلاف القوانين بين الدول يجعل من الصعب أحيانًا ضمان “المستوى المكافئ للحماية”.
  • قد تواجه الشركات التزامات مزدوجة (التزامها بنظام حماية البيانات السعودي من جهة، وخضوعها لقوانين أجنبية من جهة أخرى مثل قانون CLOUD الأمريكي أو GDPR الأوروبي).
  • هذا يفرض على الشركات وضع استراتيجيات دقيقة لإدارة البيانات العابرة للحدود.

الخلاصة التحليلية للفصل الرابع

يتضح أن المشرع السعودي قد تعامل مع مسألة مشاركة البيانات ونقلها بحذر بالغ، من خلال فرض قيود دقيقة توازن بين حماية الخصوصية و تمكين الشركات من ممارسة أعمالها.

  • داخليًا: أوجب النظام موافقة الأفراد والتزام الأطراف المتشاركة بنفس المعايير.
  • خارجيًا: فرض شروطًا صارمة تضمن بقاء مستوى الحماية عاليًا، مع إعطاء بعض الاستثناءات للحالات الإنسانية والضرورية.

إن هذا التوجه يعكس رغبة المملكة في حماية سيادتها الرقمية، وضمان عدم وقوع بيانات مواطنيها ومقيميها تحت رحمة أنظمة أجنبية قد لا توفر الضمانات الكافية. وفي الوقت نفسه، يمنح الشركات إطارًا قانونيًا واضحًا لتسيير عملياتها الدولية دون الوقوع في مخالفات.

الفصل الخامس: حقوق أصحاب البيانات

يُعد تمكين الأفراد من ممارسة حقوقهم المتعلقة ببياناتهم الشخصية أحد الركائز الأساسية التي يقوم عليها نظام حماية البيانات الشخصية السعودي. فالنظام لا يقتصر على إلزام الشركات بواجبات محددة، بل يمنح أصحاب البيانات مجموعة من الحقوق الجوهرية التي تضمن لهم السيطرة على بياناتهم، وتعزز من مبدأ الشفافية والمساءلة.

هذه الحقوق ليست شكلية، وإنما هي التزام قانوني على الشركات، وأي انتقاص منها قد يترتب عليه مساءلة نظامية وعقوبات.

المبحث الأول: الحقوق المتعلقة بالاطلاع والتصحيح والتحديث

أولًا: حق الاطلاع والوصول

  • يحق لصاحب البيانات أن يطلب من الشركة نسخة من بياناته الشخصية التي تحتفظ بها.
  • يجب أن تكون النسخة واضحة وسهلة الفهم، وبصيغة قابلة للاستخدام.
  • لا يجوز للشركة أن تماطل أو ترفض الطلب إلا لأسباب نظامية محددة، مثل حماية أمن الدولة أو حقوق أطراف أخرى.

 مثال تطبيقي: موظف يطلب من شركته الاطلاع على ملفه الوظيفي وبيانات حضوره وأدائه. الشركة ملزمة بتمكينه من ذلك خلال مدة معقولة.

ثانيًا: حق التصحيح والتحديث

  • يحق لصاحب البيانات أن يطلب تصحيح أي بيانات خاطئة أو غير دقيقة.
  • على الشركة أن تستجيب بسرعة، وأن توثق عملية التصحيح لتجنب أي تضارب مستقبلي.

 مثال تطبيقي: عميل بنك اكتشف أن عنوانه البريدي مسجل خطأ، مما أدى إلى فقدان رسائل رسمية. البنك ملزم بتحديث البيانات فورًا.

ثالثًا: حق استكمال البيانات الناقصة

  • إذا كانت البيانات التي تحتفظ بها الشركة غير مكتملة، يحق لصاحبها طلب استكمالها بما يحقق الغرض المصرّح به.

المبحث الثاني: الحقوق المتعلقة بالموافقة والاستخدام

أولًا: حق سحب الموافقة

  • يتيح النظام لصاحب البيانات حق سحب موافقته في أي وقت، وبطريقة سهلة مثلما منحها في البداية.
  • على الشركة عندها أن تتوقف عن معالجة البيانات فورًا، ما لم يكن هناك التزام نظامي آخر يوجب الاستمرار.

 مثال تطبيقي: عميل وافق على تلقي رسائل تسويقية من متجر إلكتروني، ثم طلب وقفها. المتجر ملزم بالاستجابة الفورية.

ثانيًا: حق الاعتراض على المعالجة

  • يحق لصاحب البيانات الاعتراض على استخدام بياناته في أنشطة معينة، مثل التسويق المباشر أو التحليلات التجارية.
  • على الشركة إيقاف المعالجة إذا لم يكن لديها سبب مشروع أقوى يبرر الاستمرار.

المبحث الثالث: الحقوق المتعلقة بالحذف والإتلاف

أولًا: حق طلب الحذف

  • يجوز لصاحب البيانات أن يطلب من الشركة حذف بياناته إذا:
  1. لم تعد البيانات ضرورية للغرض الذي جُمعت من أجله.
  2. سحب موافقته ولم يعد هناك أساس نظامي آخر للاحتفاظ بها.
  3. كانت معالجة البيانات غير مشروعة من الأساس.

ثانيًا: حق طلب الإتلاف أو التجهيل

  • في بعض الحالات، يمكن لصاحب البيانات أن يطلب إتلاف البيانات أو تحويلها إلى صيغة مجهولة (Anonymized) بحيث لا يمكن ربطها به.

 مثال تطبيقي: عميل أنهى تعامله مع مستشفى خاص، وطلب حذف ملفه الطبي بعد انتهاء التزامات العلاج. المستشفى ملزم بالاستجابة إلا إذا كان هناك التزام نظامي بالاحتفاظ لفترة معينة.

المبحث الرابع: الإشعار والإفصاح في حال الاختراق

أولًا: حق المعرفة

  • في حال تعرضت بيانات الفرد للاختراق أو التسريب، يحق له أن يتم إشعاره فورًا.
  • يجب أن يتضمن الإشعار:
  1. طبيعة البيانات التي تعرضت للاختراق.
  2. المخاطر المحتملة.
  3. الإجراءات المتخذة لمعالجة الموقف.

ثانيًا: حق الحماية من الآثار

  • لا يكفي الإشعار فقط، بل يجب على الشركة أن تساعد صاحب البيانات في تقليل الأضرار، مثل:
  1. توفير خدمة مراقبة الائتمان إذا كانت البيانات المالية قد تسربت.
  2. تقديم إرشادات لحماية الحسابات الرقمية.

 مثال تطبيقي: إذا تعرضت منصة للتجارة الإلكترونية لاختراق أدى إلى تسريب بطاقات العملاء الائتمانية، يجب عليها إبلاغ العملاء فورًا والتعاون مع البنوك لإلغاء البطاقات المتضررة وإصدار أخرى جديدة.

الخلاصة التحليلية للفصل الخامس

منح النظام السعودي لحماية البيانات الشخصية الأفراد مجموعة واسعة من الحقوق التي تضمن لهم السيطرة الكاملة على بياناتهم. هذه الحقوق ليست ترفًا قانونيًا، بل هي جزء من العلاقة المتوازنة بين الشركات والعملاء.

  • من خلال حق الاطلاع والتصحيح، يتمكن الأفراد من ضمان دقة بياناتهم
  • من خلال حق سحب الموافقة والاعتراض، يحافظ الأفراد على سيادتهم على كيفية استخدام بياناتهم.
  • من خلال حق الحذف والإشعار عند الاختراق، يحظى الأفراد بآليات وقائية وعلاجية لحماية مصالحهم.

وبالتالي فإن الشركات التي تلتزم بتمكين الأفراد من هذه الحقوق لا تحمي نفسها من العقوبات النظامية فحسب، بل تعزز ثقة عملائها، وتحوّل حماية البيانات من عبء إداري إلى ميزة تنافسية في السوق.

الفصل السادس: الآثار القانونية لعدم الامتثال

لا يقف نظام حماية البيانات الشخصية السعودي عند حد فرض الالتزامات على الشركات، بل يمتد ليضع آليات للمساءلة والعقوبات في حال عدم الامتثال. والهدف من ذلك ليس فقط حماية الأفراد، بل أيضًا بناء بيئة تجارية عادلة وشفافة، وردع أي جهة تفكر في التهاون بحقوق أصحاب البيانات.

وتتنوع الآثار المترتبة على عدم الامتثال بين عقوبات نظامية مباشرة، وآثار غير مباشرة تمس السمعة والثقة والمكانة التنافسية للشركات.

المبحث الأول: العقوبات النظامية

أولًا: الغرامات المالية

  • فرض النظام غرامات قد تصل إلى ملايين الريالات في حال ارتكاب مخالفات جسيمة مثل:
  1. معالجة البيانات دون موافقة صريحة.
  2. مشاركة البيانات مع أطراف ثالثة غير مصرح لهم.
  3. نقل البيانات خارج المملكة دون استيفاء الشروط.
  4. تحدد قيمة الغرامة حسب خطورة المخالفة وعدد الأفراد المتضررين.

 مثال تطبيقي: لو قامت شركة تسويق ببيع بيانات عملائها لمعلنين دون علمهم أو موافقتهم، فإنها تعرض نفسها لغرامات كبيرة قد تتناسب مع حجم الضرر وعدد البيانات المسربة.

ثانيًا: العقوبات الجنائية

  • في حال تسريب بيانات حساسة عمدًا أو استخدامها لتحقيق مكاسب غير مشروعة، قد تصل العقوبة إلى السجن لمدد محددة إضافة إلى الغرامات.
  • يهدف هذا الجانب إلى ردع الأفعال التي تتسم بسوء النية والتعمد.

ثالثًا: العقوبات الإدارية

  • من العقوبات الإدارية الممكن فرضها:
  • تعليق تراخيص الشركة مؤقتًا.
  • حرمانها من بعض الامتيازات الحكومية أو التعاقدات.
  • إلزامها بإجراء مراجعات إلزامية من طرف ثالث.

 مثال واقعي: بعض الجهات المالية في السعودية تعرضت لمساءلة تنظيمية عند إخفاقها في الالتزام بضوابط الأمن السيبراني الصادرة عن البنك المركزي، وهو ما يعكس توجه السلطات نحو التشدد مع أي إهمال يتعلق بالبيانات.

المبحث الثاني: الآثار غير المباشرة

أولًا: فقدان ثقة العملاء

  • أكبر الخسائر التي قد تواجهها الشركة لا تتمثل في الغرامات، بل في فقدان ثقة العملاء.
  • العملاء أصبحوا أكثر وعيًا بحقوقهم، وأي خرق أو تسريب للبيانات قد يدفعهم لترك الشركة والتوجه إلى المنافسين.

 مثال تطبيقي: إذا تعرض بنك لاختراق أدى إلى تسريب بيانات حسابات العملاء، فحتى بعد معاقبته نظاميًا، ستبقى سمعته مهزوزة لسنوات.

ثانيًا: الأضرار السمعة المؤسسية

  • في عصر الإعلام الرقمي، تنتشر أخبار الاختراقات بسرعة، وقد تؤدي إلى أضرار بالغة لسمعة الشركة محليًا ودوليًا.
  • بعض الشركات العالمية خسرت مليارات الدولارات من قيمتها السوقية بسبب تسريبات بيانات لملايين المستخدمين.

ثالثًا: التبعات الدولية

  • الشركات السعودية التي تتعامل مع أسواق أجنبية قد تواجه مساءلات مزدوجة.
  • فإذا كانت الشركة لا تمتثل لمعايير النظام السعودي، فلن يُعترف بامتثالها لمعايير مثل اللائحة الأوروبية (GDPR)، ما قد يؤدي إلى منعها من التعامل مع الشركات الأوروبية أو فرض غرامات عليها في تلك الأسواق.

المبحث الثالث: المسؤولية المدنية والتعويضات

  • يتيح النظام لأصحاب البيانات المتضررين الحق في المطالبة بتعويضات عن الأضرار التي لحقت بهم نتيجة سوء إدارة بياناتهم.
  • قد تكون هذه التعويضات مالية أو عينية (مثل إعادة البيانات الصحيحة أو إزالة المعلومات الضارة).

 مثال تطبيقي: إذا أدى خطأ في تحديث البيانات الطبية إلى إدخال وصفة خاطئة لمريض، فإن المستشفى قد يُلزم بدفع تعويض عن الأضرار الجسدية والنفسية التي نتجت عن الخطأ.

الخلاصة التحليلية للفصل السادس

إن عدم الامتثال لنظام حماية البيانات الشخصية لا يُعد مجرد مخالفة شكلية، بل هو خطر متعدد الأبعاد.

  • على المستوى النظامي: قد تواجه الشركة غرامات، عقوبات جنائية، أو إجراءات إدارية قد تصل إلى تعليق نشاطها.
  • على المستوى العملي: يتسبب الإخلال في فقدان ثقة العملاء وضرر السمعة المؤسسية، وهو ما قد يكون أكثر خطورة من العقوبات المالية.
  • على المستوى الدولي: قد تفقد الشركات فرصها في الأسواق العالمية إذا لم تثبت التزامها بمعايير الحماية.

وبالتالي، فإن الامتثال للنظام لا يُعتبر فقط التزامًا قانونيًا، بل هو استثمار استراتيجي يحمي استدامة الشركة وسمعتها التنافسية.

الفصل السابع: التوصيات العملية للشركات

بعد استعراض الإطار العام لنظام حماية البيانات الشخصية والتزامات الشركات وآثار عدم الامتثال، يتضح أن التحدي الأكبر يكمن في تحويل النصوص النظامية إلى ممارسات عملية داخل بيئة العمل اليومية. وفي هذا السياق، يقدم هذا الفصل مجموعة من التوصيات العملية التي تساعد الشركات على تحقيق الامتثال الفعّال، وتحوّل حماية البيانات من مجرد التزام قانوني إلى ميزة تنافسية استراتيجية.

المبحث الأول: السياسات والإجراءات الداخلية

أولًا: صياغة سياسة مكتوبة لحماية البيانات

  • يجب على كل شركة أن تعتمد سياسة رسمية مكتوبة لحماية البيانات، يتم تحديثها بشكل دوري.
  • تتضمن هذه السياسة:
  1. تعريفًا بالبيانات الشخصية وأنواعها.
  2. طرق جمع البيانات وآليات الحصول على الموافقة.
  3. الضوابط الخاصة بالوصول والاستخدام.
  4. آليات المعالجة، الحفظ، والمشاركة.
  5. الإجراءات المتبعة عند وقوع خرق أو تسريب.

 أثر عملي: وجود سياسة مكتوبة يُسهل إثبات الامتثال أمام الجهات الرقابية، ويُعزز ثقة العملاء.

ثانيًا: توثيق دورة حياة البيانات

  • من المهم أن يكون لدى الشركة سجل كامل يوضح رحلة البيانات منذ لحظة جمعها حتى حذفها أو إتلافها.
  • هذا السجل يجب أن يكون متاحًا للتدقيق من قبل الجهات المختصة عند الحاجة.

ثالثًا: مراجعة العقود مع الأطراف الثالثة

  • على الشركات أن تدرج بنودًا خاصة بحماية البيانات في جميع عقودها مع الموردين ومزودي الخدمات.
  • يجب أن تنص العقود على:
  1. التزام الطرف الثالث بمعايير الحماية.
  2. مسؤوليته عن أي إخلال أو تسريب.
  3. آلية المراجعة الدورية لامتثاله.

المبحث الثاني: العنصر البشري وبناء ثقافة حماية البيانات

أولًا: التدريب والتوعية

  • يُعتبر الموظفون الحلقة الأضعف في أي منظومة أمنية.
  • لذا يجب تنظيم برامج تدريبية دورية تشمل:
  1. كيفية التعامل مع البيانات الشخصية.
  2. التعرف على محاولات الاحتيال والتصيد الإلكتروني.
  3. إجراءات الإبلاغ الفوري عند الاشتباه بخرق.

ثانيًا: تعزيز ثقافة “الخصوصية أولًا”

  • ينبغي أن تصبح حماية البيانات ثقافة مؤسسية، بحيث يدرك كل موظف أنه مسؤول عن حماية بيانات العملاء مثلما هو مسؤول عن أداء مهامه الوظيفية.
  • يمكن تعزيز هذه الثقافة من خلال:
  1. حملات داخلية.
  2. رسائل تذكيرية دورية.
  3. ربط الالتزام بحماية البيانات بتقييم الأداء.

المبحث الثالث: أدوات الامتثال والمتابعة

أولًا: المراجعة الدورية (Compliance Audit)

  • يجب أن تُجري الشركات مراجعات داخلية أو خارجية منتظمة للتأكد من:
  1. التزامها بالسياسات المكتوبة.
  2. فعالية التدابير الأمنية.
  3. تحديث أنظمة الحماية بما يتناسب مع التطورات التقنية.

 مثال تطبيقي: تكليف جهة متخصصة بإجراء تدقيق سنوي على أنظمة الشركة، وتقديم تقرير يُرفع إلى مجلس الإدارة.

ثانيًا: تعيين مسؤول حماية بيانات (DPO)

  • وجود مسؤول حماية بيانات في الشركات الكبرى أو التي تتعامل مع بيانات حساسة يعزز من المساءلة الداخلية.
  • يجب أن يكون لهذا المسؤول استقلالية نسبية، وأن يُرفع تقاريره مباشرة للإدارة العليا.

ثالثًا: الاستثمار في الأمن السيبراني

  • من التوصيات الأساسية أن تخصص الشركات ميزانية واضحة للأمن السيبراني تشمل:
  1. أنظمة التشفير.
  2. جدران الحماية.
  3. أدوات كشف التهديدات.
  4. خدمات النسخ الاحتياطي والاسترداد.

المبحث الرابع: الشفافية مع العملاء

أولًا: نشر سياسات الخصوصية

  • يتعين على الشركات نشر سياساتها الخاصة بحماية البيانات على مواقعها الإلكترونية وتطبيقاتها، بلغة واضحة وبسيطة.

ثانيًا: آليات سهلة لممارسة الحقوق

  • يجب أن توفّر الشركة منصات رقمية تمكّن الأفراد من:
  1. الاطلاع على بياناتهم.
  2. تقديم طلبات التصحيح أو الحذف.
  3. سحب الموافقة على استخدام البيانات.

 أثر عملي: هذه الخطوات تزيد من رضا العملاء، وتظهر الشركة بمظهر الشريك الموثوق.

الخلاصة التحليلية للفصل السابع

إن الامتثال لنظام حماية البيانات الشخصية لا يتحقق بمجرد الالتزام بالحد الأدنى من النصوص النظامية، بل يتطلب منظومة متكاملة تشمل:

  1. سياسات وإجراءات مكتوبة.
  2. تدريب وتثقيف الموظفين.
  3. استثمار مستمر في تقنيات الأمن.
  4. شفافية دائمة مع العملاء.

وعليه، فإن الشركات التي تنظر إلى الامتثال باعتباره عبئًا إضافيًا ستظل في دائرة المخاطر والعقوبات، في حين أن الشركات التي تجعله جزءًا من استراتيجيتها المؤسسية ستحقق ميزة تنافسية تعزز ثقتها لدى عملائها وتدعم استدامتها في السوق المحلي والدولي.

الخاتمة

بعد استعراض نظام حماية البيانات الشخصية السعودي من مختلف جوانبه، يمكن القول إن المملكة قد خطت خطوة استراتيجية مهمة في سبيل بناء بيئة رقمية آمنة ومتوافقة مع أفضل الممارسات الدولية. وقد جاء النظام ليؤكد أن حماية الخصوصية الفردية لم تعد خيارًا، بل أصبحت حقًا أصيلًا وضمانة قانونية أساسية في ظل الثورة الرقمية.

وقد خلصت الدراسة إلى جملة من النتائج:

  1. أن النظام السعودي تبنى مبادئ عالمية لحماية البيانات مثل المشروعية، الشفافية، تقليل البيانات، والحق في الحذف والتصحيح، مع مراعاة خصوصية السياق السعودي.
  2. أن الشركات هي الطرف الأكثر تحمّلًا للالتزامات، إذ يقع على عاتقها عبء الامتثال في جميع مراحل التعامل مع البيانات، بدءًا من الجمع وحتى المعالجة والنقل.
  3. أن العقوبات المترتبة على الإخلال بالنظام ليست فقط مالية أو جنائية، بل تشمل كذلك آثارًا عملية خطيرة مثل فقدان ثقة العملاء والإضرار بالسمعة المؤسسية.
  4. أن الامتثال للنظام لا يمثل مجرد التزام نظامي، بل هو استثمار استراتيجي يعزز ثقة العملاء، ويدعم تنافسية الشركات في السوق المحلي والدولي.

التوصيات العامة:

  • ضرورة أن تنظر الشركات إلى حماية البيانات بوصفها جزءًا من هويتها المؤسسية، لا مجرد عبء إداري.
  • أهمية الاستثمار في الأمن السيبراني والتدريب المستمر للموظفين.
  • تعزيز التعاون بين الجهات الحكومية والقطاع الخاص لنشر ثقافة حماية البيانات.
  • توسيع نطاق التوعية العامة بحقوق الأفراد وآليات ممارستها.

وبذلك يتضح أن حماية البيانات الشخصية ليست مجرد تشريع، بل هي منظومة متكاملة تسعى المملكة من خلالها إلى تحقيق التوازن بين تمكين الاقتصاد الرقمي وحماية حقوق الأفراد، بما ينسجم مع أهداف رؤية السعودية 2030.

المراجع

أولًا: المراجع النظامية السعودية

  • المملكة العربية السعودية. (2021). نظام حماية البيانات الشخصية، المرسوم الملكي رقم (م/19) وتاريخ 09/02/1443هـ. الرياض: هيئة الخبراء بمجلس الوزراء.
  • الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا). (2022). اللائحة التنفيذية لنظام حماية البيانات الشخصية. الرياض: سدايا.
  • الهيئة الوطنية للأمن السيبراني. (2018). الإطار الوطني للأمن السيبراني. الرياض: الهيئة الوطنية للأمن السيبراني.

ثانيًا: المراجع العربية الأكاديمية والإعلامية المعتبرة

  • التريكي، ع. ب. ع. (2025). حماية البيانات الشخصية في النظام السعودي: دراسة مقارنة. مجلة القانون والتنمية، 7(1)، 45-78. https://jdl.journals.ekb.eg/article_451132.html
  • الشمري، ن. ع. (2023). حماية البيانات الشخصية في المملكة العربية السعودية والاتحاد الأوروبي والمملكة المتحدة: دراسة مقارنة. مجلة العلوم الإنسانية والاجتماعية، 7(11)، 120–150. https://journals.ajsrp.com/index.php/jhss/article/view/7120
  • بالحارث، ن. أ. (2023، أكتوبر 15). البيانات الشخصية سلعة ثمينة.. هل يمكن حمايتها؟ صحيفة الوطن السعودية. https://cdn.alwatan.com.sa/article/1134860
  • كي بي إم جي. (2023، أغسطس 28). الحماية المتينة للبيانات في السعودية قادرة على حماية الشركات من الغرامات الباهظة. صحيفة الوطن السعودية. https://www.alwatan.com.sa/article/1132620
  • وزارة المالية السعودية. (2023). سياسة الاستخدام والخصوصية. الرياض: وزارة المالية. https://www.mof.gov.sa/Portal/Pages/privacy.aspx
  • الهيئة السعودية للبيانات والذكاء الاصطناعي (سدايا). (2023). دليل نظام حماية البيانات الشخصية لجهات التحكم والمعالجة. الرياض: سدايا. https://dgp.sdaia.gov.sa
  • العربية.نت. (2024، سبتمبر 22). نظام حماية البيانات الشخصية في السعودية.. ما أبرز متطلباته؟ العربية.نت. https://www.alarabiya.net

ثالثًا: المراجع الأجنبية (للمقارنة الدولية)

Greenleaf, G. (2023). Global data privacy laws 2023:An international survey of privacy and data protection. Oxford University Press.

European Union. (2016). General Data Protection Regulation (GDPR), Regulation (EU) 2016/679. Official Journal of the European Union, L 119, 1–88.

Kuner, C. (2021). Transborder data flows and data privacy law. Oxford University Press.

أكتب تعليقا

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *